FDA對(duì)于包含網(wǎng)絡(luò)安全內(nèi)容的醫(yī)療器械��,提交注冊(cè)資料時(shí)����,要求上傳相應(yīng)的Cybersecurity Labeling.
以下是可能包含在標(biāo)簽中的信息示例,以便向用戶傳達(dá)相關(guān)的安全信息:
1����、適用于預(yù)期使用環(huán)境的推薦網(wǎng)絡(luò)安全控制相關(guān)的設(shè)備說(shuō)明和產(chǎn)品規(guī)格(例如�,反惡意軟件、防火墻的使用��、密碼要求)。
2��、為用戶提供足夠詳細(xì)的圖表����,允許實(shí)施推薦的網(wǎng)絡(luò)安全控制。
3��、預(yù)期接收和/或發(fā)送數(shù)據(jù)的網(wǎng)絡(luò)端口和其他接口的列表�。此列表應(yīng)包含端口功能的描述,并指示端口是傳入��、傳出還是兩者兼而有之,以及批準(zhǔn)的目標(biāo)端點(diǎn)����。
4、為用戶提供有關(guān)支持基礎(chǔ)設(shè)施要求的具體指導(dǎo)��,以便設(shè)備能夠按預(yù)期運(yùn)行(例如最低網(wǎng)絡(luò)要求、支持的加密接口)����。在適當(dāng)?shù)那闆r下��,此類指導(dǎo)應(yīng)包括允許安全網(wǎng)絡(luò)部署和服務(wù)的技術(shù)說(shuō)明�,以及用戶在檢測(cè)到網(wǎng)絡(luò)安全漏洞或事件時(shí)如何應(yīng)對(duì)的說(shuō)明��。
5�、SBOM�,或按照行業(yè)公認(rèn)的格式有效管理其資產(chǎn)��,了解已識(shí)別漏洞對(duì)醫(yī)療器械系統(tǒng)的潛在影響,并部署對(duì)策以維護(hù)器械的安全性和有效性����。制造商應(yīng)持續(xù)向用戶提供或提供SBOM信息����。如果使用在線門戶��,制造商應(yīng)確保用戶擁有包含準(zhǔn)確信息的最新鏈接�。SBOM應(yīng)采用機(jī)器可讀格式�。
6��、用戶下載版本可識(shí)別的制造商授權(quán)軟件和固件的系統(tǒng)程序的描述����,包括用戶如何知道軟件何時(shí)可用的描述��。
7����、描述該設(shè)計(jì)如何使設(shè)備在檢測(cè)到異常情況(即安全事件)時(shí)做出響應(yīng)��。這應(yīng)該包括通知用戶和記錄相關(guān)信息��。安全事件類型可以是配置更改��、網(wǎng)絡(luò)異常、登錄嘗試或異常流量(例如����,向未知實(shí)體發(fā)送請(qǐng)求)。
8�、對(duì)保護(hù)關(guān)鍵功能的設(shè)備功能的高級(jí)描述(例如備份模式��、禁用端口/通信)。
9��、備份和還原功能以及還原經(jīng)過(guò)身份驗(yàn)證的配置的過(guò)程的描述。
10����、描述由經(jīng)過(guò)身份驗(yàn)證的授權(quán)用戶保留和恢復(fù)設(shè)備配置的方法����。
11�、對(duì)裝運(yùn)設(shè)備的安全配置的描述�、用戶可配置更改的說(shuō)明��,以及可能增加醫(yī)療設(shè)備系統(tǒng)安全風(fēng)險(xiǎn)的用戶可配置變更的標(biāo)識(shí)����。安全配置可能包括端點(diǎn)保護(hù)����,如反惡意軟件��、防火墻/防火墻規(guī)則、允許列表�、拒絕列表、安全事件參數(shù)�、日志參數(shù)和物理安全檢測(cè),以及憑據(jù)重置等�。
12��、在適用于預(yù)期使用環(huán)境的情況下,描述如何捕獲證據(jù),包括但不限于為安全事件保留的任何日志文件����。日志文件描述應(yīng)包括日志文件如何��、在何處以及以何種格式定位��、存儲(chǔ)、回收��、歸檔��,以及如何被自動(dòng)分析軟件(如入侵檢測(cè)系統(tǒng)(IDS)或安全信息和事件管理(SIEM))使用�。
13�、有關(guān)設(shè)備網(wǎng)絡(luò)安全(不包括組件)支持終止和壽命終止的信息(如果已知或預(yù)期)��。在支持結(jié)束時(shí)�,制造商可能無(wú)法再合理地提供安全補(bǔ)丁或軟件更新�。如果設(shè)備在支持結(jié)束后仍在使用中,制造商應(yīng)該有一個(gè)預(yù)先建立和預(yù)先溝通的流程來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)��,強(qiáng)調(diào)最終用戶的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能會(huì)隨著時(shí)間的推移而增加����。
14、通過(guò)清除產(chǎn)品中的敏感�、機(jī)密和專有數(shù)據(jù)和軟件����,安全地停用設(shè)備的信息。
京公網(wǎng)安備11010802046783號(hào)